-2

ホストベースの証拠に対してフォレンジック分析を実行しています - サーバーのハードドライブのパーティションを調べています。

システムが停止/再起動する前にすべての「ユーザー」が実行したプロセスを見つけることに興味があります。

これはライブ分析ではないため、実行中のプロセスを確認するために ps または top を使用することはできません。

そのため、ユーザーが実行したプロセスを示す /var/log/messages のようなログがあるかどうか疑問に思っていました。

/var/log/* で多くのログを確認しました。ログイン、パッケージの更新、承認に関する情報は得られますが、プロセスに関する情報はありません。

4

3 に答える 3

0

何かを見つけるチャンスはそれほど大きくありませんが、考慮すべき点がいくつかあります。

  • グレースフル デス/リブートがどの程度であったかによって異なります (プロセスがグレースフルに強制終了された場合.bash_history、同様のファイルが最近のセッション情報で更新される可能性があります)。
  • utmpおよびwtmpファイルは、再起動時にアクティブなユーザーのリストを提供する場合があります。
  • OS がクラッシュ ダンプを保存している可能性があります (Linux ディストリビューションによって異なります)。もしそうなら - クラッシュの瞬間に OS の状態を調べることができるかもしれません。詳細については、RedHatcrashを参照してください ( http://people.redhat.com/anderson/crash_whitepaper/ )。
  • /tmp/var/tmp何が実行されていたか、いくつかの手がかりを保持している可能性があります
  • クラッシュ時刻近くのmtimeおよびctimeタイムスタンプ (おそらくatimeも)を持つすべてのファイル
  • おそらく、スワップ パーティションから何か便利なものを取得できます (特に、再起動が RAM の大量使用に関連している場合)。
于 2014-12-05T17:53:56.250 に答える
0

そのため、ユーザーが実行したプロセスを示す /var/log/messages のようなログがあるかどうか疑問に思っていました

/var/log のファイル システム パスで指定された OS を考えると、ubuntu またはLinuxベースのサーバーを使用していて、ボックスの実行中にライブ フォレンジックを行っていないか、メモリ フォレンジック (メモリ キャプチャが取得された場所) を行っていないことを前提としています。 )、かつシステムを再起動した場合、/var/log 内にプロセスをユーザーに関連付けるファイルがありません。ただし、ユーザーが bash シェルを使用していた場合は、そのユーザーが実行したコマンドを示す .bash_history ファイルを確認できますが、これは 500 と思われます (デフォルトでは bash シェルの場合)。

または、メモリ ダンプが作成された場合 (/dev/mem または /dev/kmem)、揮発性を使用して、ボックスで実行されたプロセスを引き出すことができます。それでも、プロセスを実行したユーザーにそのプロセスを帰することはできないと思います。そのリンクを作成するには、ボラティリティからの追加の出力が必要になります。

于 2015-01-01T19:00:22.743 に答える
0

「コマンド アカウンティング」が有効になっていない場合は、ありません。

于 2014-11-17T10:46:15.343 に答える